해커들의 새로운 공격: TCLBanker 트로이 목마
최근 해커들이 WhatsApp 및 Outlook과 같은 인기 애플리케이션을 통해 59개의 은행, 핀테크 및 암호화폐 플랫폼을 겨냥하고 있다는 보고서가 나왔다. BleepingComputer의 보도에 따르면, TCLBanker라는 트로이 목마가 오염된 Microsoft 설치 패키지를 통해 Windows 시스템을 공격하고 있다. 이 트로이 목마는 Elastic Security Labs에 의해 발견되었으며, 연구자들은 이것이 이전의 Maverick 및 Sorvepotel 악성코드 계열의 주요 진화라고 믿고 있다.
TCLBanker의 작동 방식
보고서에 따르면, TCLBanker는 감염된 장치의 시간대, 키보드 레이아웃 및 지역 설정을 확인한다. 이 악성코드는 WhatsApp 및 Microsoft Outlook을 통해 자동으로 확산할 수 있는 웜 모듈을 포함하고 있다. 목표 사이트가 열리면, 악성코드는 명령 및 제어 서버와 WebSocket 세션을 생성하고 원격 제어 작업을 시작한다.
악성코드 운영자의 기능에는 실시간 화면 스트리밍, 스크린샷, 키로깅, 클립보드 하이재킹, 셸 명령 실행, 파일 시스템 접근 및 원격 마우스 및 키보드 제어가 포함된다.
민감한 정보 수집
TCLBanker는 또한 자격 증명, PIN, 전화번호 및 기타 민감한 정보를 수집하기 위해 가짜 오버레이 화면을 사용한다. 이러한 오버레이는 가짜 자격 증명 프롬프트, PIN 키패드, 은행 지원 대기 화면, Windows 업데이트 화면 및 가짜 진행 화면을 포함할 수 있다.
BleepingComputer는 TCLBanker가 브라질의 앱을 겨냥하고 있으며, 피해자의 브라우저 주소 표시줄을 매초 모니터링하고 59개의 목표 플랫폼 중 하나를 방문하는지를 감시하고 있다고 전했다.
